A Google ismét rákapcsol egy fokozattal az Amdroid rendszert érintő hibavadász programokra, ami ezúttal már nem csak a vállalat saját alkalmazásaiban feltárt hézagok foltozgatását, de a harmadik fél által fejlesztett szoftverek sérülékenységeinek feltárását is célozza. Ez a Google Play Security Reward Program (GPSRP) kiterjesztése kapcsán azt jelenti, hogy a vállalat a legalább 100 millió telepítést jegyző androidos appok esetében is fizet a bugok felfedezőinek, és még akkor is állja a cechet, ha a programok eredeti feljesztője nem gondoz saját bug bounty kezdeményezéseket. A Google ilyen esetekben azt is vállalja, hogy segítséget nyújt a fejlesztőknek a sebezhetőségek javításához.

A GPSRP jelentőségét egyébként nem csak a konkrét hibák azonosítása adja, hanem az is, hogy a sérülékenységekről gyűjtött információk segítenek az olyan automatizált ellenőrzések lefolytatásában, amelyek során a play áruházban szereplő összes alkalmazást megvizsgálnak az adott típusú sebezhetőség után kutatva. Mindez egy másik program, a több mint öt évvel ezelőtt indított App Security Improvement (ASI) keretei között már több mint 300 ezer fejlesztő több mint 1 millió apllikációjában járult hozzá a kisebb-nagyobb hibák javításához.

A Google egyik hivatalos blogján tegnap közzétett bejegyzés szerint ez egyedül az elmúlt évbe azt jelentette, hogy 75 ezer bugos alkalmazást tettek rendbe, mielőtt azokat a felhasználók egyáltalán telepíthették volna az eszközeikre. Az oldalon közölt adatok szerint egyébként a GPSRP program keretei között a társaság eddig 265 ezer dollárt fizetett ki a sebezhetőségeket feltáró külső szakembereknek, az egyes jutalmak összegének emelkedését pedig jól jelzi, hogy ebből 75 ezret az elmúlt néhány hónapban ítéltek oda a bugvadászoknak.

Ahogy már korábban is beszámoltunk róla, az ASI programban tippekkel és ajánlásokkal látják el az androidos alkalmazások készítőit, azonosítva a szoftverek olyan pontjait is, amelyek akár tényleges, akár potenciális biztonsági problémát jelentenek. A Google a javítások egy részére határidőt is szab, máskor következmények nélkül figyelmeztet. A sérülékenységeket ctípusokba és kategóriákba sorolják, valamilyen könyvtárhoz vagy általánosabb validációs problémákhoz kapcsolva azokat. Maguk az appok nem csak a Play áruházba való felvételüket megelőzően esnek át az eljáráson, de a korábban már elfogadott alkalmazásokat is rendszeresen újra szkennelik az eltelt időben felfedezett újabb hibák után kutatva.

Egyre többen keresnek egyre többféle problémát

Egy másik friss bejelentés a Developer Data Protection Reward Program (DDPRP) elindításáról szól, amelynek célja, hogy ugyancsak pénzjutalommal ösztönözzék, ha valaki lerántja a leplet egy-egy alkalmazás rosszindulatú viselkedéséről. Itt nem a fenti, technikai jellegű hibákra kell gondolni, hanem olyasmire, mint amikor az androidos appok, az OAuth projektek vagy a Chrome kiterjesztések szabálytalanul, esetleg visszaélésszerűen gyűjtik és használják a felhasználói adatokat, megsértve a Google Play, a Google API vagy a Google Chrome Web Store Extensions szerződési feltételeit.

Bár a kifizetéseknek ebben az esetben sincs elvi maximuma, a Google azt közölte, hogy az egyetlen bejelentésért adott legmagasabb díjak akár az 50 ezer dollárt is elérhetik majd. A kezdeményezés máskülönben nagyon hasonlóan működik a Google többi hibavadász programjához, a cél viszont ebben az esetben kifejezetten az olyan szituációk azonosítása, amikor felmerül a adatok tájékoztatás nélküli használata vagy értékesítése, illetve az adatok felhasználási módjának anélkül való megváltoztatása, hogy ahhoz aktív beleegyezést szereztek volna.

A programot a HackerOne bevonásával menedzselik, ahol várhatóan még ugyanezen a héten közzéteszik a pontos részleteket. A hibavadász platform a maga részéről nemrég jelentette be, hogy megvannak az első olyan tagjai, akik több mint egymillió dollárt kerestek a bugok feltárásával. Egyelőre hat ilyen személyről van szó, a HackerOne-on keresztül pedig összességében 21 millió dollárnak megfelelő díjakkat fizettek ki az előző év során – ezzel a 2018-as összeg több mint kétszerese lett az előző évinek. A Hackerone várakozásai szerint az így megkeresett díjak egészében véve a 100 millió dollárt is elérik 2020 végéig, a platform pedig több mint egymillió etikus hekkert tarthat nyilván a feliratkozói között.